Судя по всему с ключами самый разумный подход это webauth на битвардене с регом двух ключей+отп от юбикея на телефоне или того же битвардена+piv ssh аутентификация с генерацией ключей на компе и бэкапом. При таком подходе потеря ключа решается бэкапом.

Но кажется мне хватит fido2 для битвардена и ссш везде с регом двух ключей только в битвардене. Его же отп. Потеряю ключ, так всегда есть прямая консоль на сервер везде, поменяю конфиг. Зато никаких настроек и бэкапов вовсе не надо.

@3draven два ключа геморно. Я для битвардена webauthn на ключе юзаю и otp (aegis) на отдельном девайсе. На btwd и aegis ещё биометрией открываются, для простоты.

Но у меня nitrokey, они бэкапятся, как и aegis otp

Ещё думаю как бумажно забэкапить, но не осилил пока. В состоянии catch22, если потеряю смартфон одновременно с ноутом.

@kirill так как два ключа нужны один раз в жизни при реге на битвардене, а отп на нем же пашет с ключами вроде аппаратно, то потерплю наверное. Может придумаю более простой вариант. Заберу с магаза сегодня ключи, будет виднее. Мне два ключа надо зарегать только в трех сервисах, остальное на отп. Вот бэкап отп меня пока беспокоит, буду разбираться как с этим быть еще, это действительно может быть гемор, придется каждый новый отп дублировать, неудобно. Но я не разбирался как отп битварда устроен.

@kirill битварден можно использовать как место бэкапа приватных ключей любых в принципе, так как достаточно архив с ними в бейс64 перегнать и туда залить как "пароль" :) Так что с самими бэкапами хоть проблем вроде не будет.

#2fa #webauthn #NitroKey #YubiKey
@3draven

У меня тоже пока нет ясной и непротиворечивой картины менеджмента всех паролей.

Секреты не должны покидать хардварных ключей, этим хард-токены и хороши.

Но делая бэкап, ты нивелируешь это преимущество. Так как бэкап надо хранить, шифровать, и от шифра хранить ключи. Ведь для бэкапов ключи не помнятся из-за редкого использования.

Пример непокидания закрытого ключа с хардвар-токена:
- OTP
- Challenge response
- PGP
- SSH
- FIDO

Вот это всё умеет Nitrokey 3a.

Для копи-паст паролей нужен клиент "последней мили", который сохранит пароль, а потом в браузер удобно вставит. Bitwarden для этого отлично подходит, со своей кучей клиентского софта и бравзер-плагинами.

Чем защищать битварден? С учётом того, что это концентрат секретов, которые могут утечь. Ведь база на клиентском устройстве часто в расшифрованом виде. Добавим несовершенство изоляции на как на уровне ОС, так и дырявые процы. Выходит, что одного пароля, который хранится в удобном для похищения месте, НЕДОСТАТОЧНО.

Возьмем, Google-аккаунт, угон которого может парализовать жизнь некриптошизы.

Копи-паст пароля, который хранится в btwd, недостаточно. Хорошим вторым, да и первым фактором служит как раз хардварный токен (FIDO/WebauthN), или изолированный OTP, который ни разу не подключался к инету.

Тогда и пароль не нужен с логином. WebAuthN отличный и первый и второй фактор. Но сервисы за более чем два или три года развития этого стандарта так и не научились его использовать. Кроме MS с их hello.

Вернёмся к реальности, в которой копи-паст пароли популярны, хранятся в btwd, но бесполезны без 2FA. Зачем они тогда сложные? Почему не использовать "единый и универсальный пароль".

А самое главное, что делать с хард-токеном в одном единственном экземпляре. Иметь два токена? Бэкапить, но порождать проблемы хранения бэкапов?

@3draven

Отталкиваясь от реальности, а не 22-го века.

У нас сраные копи-паст пароли, или даже удобнее, но не менее безопасные парольные фразы в btwd. Причем все важные сервисы должны быть с 2FA, но большинство не умеет FIDO, значит только OTP. SMS вообще не рассматриваем, как безопасный.

Итак у нас обязателен OTP для адекватной защиты текущего дня. Хардтокен мало себе кто позволить может, и ставят OTP-клиент на телефон. Если аппке отключить интернет и бэкап, то можно считать безопасным. Но отсутствие бэкапа делает решение неудобным, например, при потере или замене смартфона. Вывод, бэкап нужен. Или нужно резервное устройство, которое должно быть всегда под рукой, на случай заведения новой учётки с 2FA. У меня таким девайсом был ipod, было удобно, но надо всегда таскать с собой и не забывать заряжать. Геморно.

Бэкап напрашивается. Копируя из памяти на диск хорошо бы зашифровать сразу открытым ключем, закрытая часть которого никогда не была на этом же устройстве. Тут же получаем новую проблему — хранения ключа бэкапа. Этой проблемы мы не хотим, и сильно теряем в безопасности, когда выбираем шифровать бэкапам симметричным ключом из головы.

Нужен независимый OTP-хардвар со сканером QR-кодов и без выхода в интернет, который всегда с собой и не требует зарядки, например, с солнечной зарядкой. 🤷‍♀️

> Риск только в момент переноса секретов куда-то

LiveCD без интернета — отличная безопасная среда.

Follow

@kirill идеальным решением было бы думаю иметь девайс, который умеет клонироваться напрямую в другой такой же девайс, при том, что имеет сканер отпечатка пальца и его использует для разрешения клона. Тогда бэкап не проблема. Этот же девайс должен уметь показывать отп в окошке и иметь кнопку их перебора, как и уметь сканить. Думаю сделать его не так и сложно, если заморочиться. Но я не стану, а вот купил бы с удовольствием.

@kirill это, кстати, может быть просто прошивка для painphone например. Он всем условиям соответствует.

@kirill github.com/GrapheneOS/os-issue

Оставил идею авторам графен ос, может кого заинтересует.

@3draven О, реальное применение linux-фонов!

@kirill ага. Я бы купил тогда. Но кто жеж донесет до линуксофоновых производителей, что это их ниша :)

@kirill закинул в генерал телегу пайнфона то же самое.

Sign in to participate in the conversation
MustUdon

I like Twitter, but, Mastodon it is so excited! Feel free to register it is server just for fun! Usefull links https://instances.social https://www.reddit.com/r/Mastodon/comments/yugh2o/some_useful_mastodon_lists/?utm_source=share&utm_medium=web2x&context=3